本發明公開一種基于通信行為分析的DNS隧道木馬檢測方法，主要包含數據包采集整合模塊、DNS會話重組模塊、隨機森林分類訓練學習模塊和DNS隧道木馬流量檢測模塊四大部分。從DNS會話的視角剖析了DNS隧道木馬的通信模式，提取了七大區別于正常的DNS會話特征的屬性，利用改進隨機森林算法構建分類訓練器，最終建立了DNS隧道木馬檢測模型。實驗測試表明本文提出的基于通信行為分析的DNS隧道木馬檢測技術不僅能有效的偵測出高隱蔽性DNS隧道木馬，誤報率小和漏報率低，而且對于未知的DNS隧道木馬同樣有很好的檢測效果。

技術領域：

本發明涉及一種DNS隧道木馬的檢測方法，特別是涉及一種基于通信行為分析的高隱蔽性DNS隧道木馬檢測方法。

背景技術：

DNS隧道技術是指基于DNS網絡協議建立隱蔽通信，實現機密數據的隱蔽傳輸。DNS隱蔽通道可以被惡意利用，一些滲透工具可以通過DNS隱蔽通道進行遠程控制甚至竊取數據。Daan Raman等人已經證明，在Metasploit滲透測試平臺下，利用內網機緩沖區或者其他漏洞，是能建立功能完全的從專用內網到外網控制者的DNS隧道，并且利用建立的DNS隧道進行指揮和控制攻擊。2017年3月，思科Talos團隊發現了一起名為DNSMessenger的攻擊，該惡意軟件的所有命令與控制通信都經由DNS TXT查詢和響應進行，以此躲避檢測。由此可見，基于DNS隧道的通信技術已逐漸成為黑客控制目標的關鍵技術手段。如何有效的應對層出不窮的新型高隱蔽性DNS隧道木馬，及時發現網絡通信中可能存在的DNS隧道木馬，提高木馬檢測率，已成為亟待解決的難題。

雖然DNS隧道木馬帶來的威脅很大，但DNS隧道木馬卻難以得到有效的監控。一方面是因為DNS報文具有天然的穿透防火墻的能力，另一方面目前的殺毒軟件、IDS等安全策略也很少對DNS報文進行有效的監控管理。目前DNS隧道木馬的檢測技術停留在基于傳統的DNS隧道工具檢測上，主要分為兩大類：載荷分析和流量監測。DNS載荷檢測主要是針對DNS數據包中的有效載荷進行分析。其中“有效載荷”意思是除去報文協議頭部剩下的數據字段內容。DNS流量監測手段主要是檢測網絡中的DNS流量變化情況，其原理是DNS隧道在傳輸數據時會產生大量的DNS報文，在網絡中常常會表現出某時刻DNS流量突增的異常現象。

Patrick Butler等人把DNS報文中域名中label部分大于52個字符作為識別DNS隧道的特征之一。該方法主要通過統計域名長度來分析是否存在DNS隧道。一般情況下，DNS隧道把要傳輸的內容封裝在請求字段的域名中，為了追求傳輸效率，在一次傳輸過程中會盡可能攜帶多的隱蔽信息，所以造成DNS報文域名字段中的域名長度偏長。

Born K等人引入信息熵的概念來檢測DNS隧道域名字母的混亂程度。日常生活中我們用的域名往往具有一定的含義，常見域名是以日常中的單詞或者一些有規律的詞組命名，所以正常域名熵值低。然而DNS隧道為了增強隱蔽性，提高抗字符分析能力，一般會均勻的使用各個字符編碼，這就使DNS隧道的域名的混亂程度較高。

Qi C等人用二元語法字頻來檢測DNS報文中域名字母頻率，發現正常的域名滿足Zipf定律而DNS隧道的域名遵循的是隨機分布。他們利用二元語法字頻來實時監測計算域名中字母的隨機性，通過評分機制來判定是否存在DNS隧道。該方法克服了以往流量檢測方法延時性，效率高，但是該方法存在一定的誤報率，容易把拼寫奇怪的但是合法的域名當成DNS隧道報文。

Bilge L等人把檢測域名中最長有意義子串的百分比作為檢測惡意域名的重要特征之一。他們通過從主要國家的字典中提取所有可能的有意義詞句，除此之外還提取一些生活中有意義的字母數字字符的組合來組成“有意義子串”字典。通過實際檢驗發現，合法域名中最長的有意義字符串的長度的比值相對于惡意域名要大的多。

Lokington S等人發現DNS隧道中的域名常常會出現一連串數字與輔音字母，但正常的域名中一般不會發生，因為合法域名在某種程度上是日常使用母語的體現，比如英語。因此也可以通過檢測域名中連續的數字以及輔音字母來發現是否存在DNS隱蔽隧道。